Pelaporan Kerentanan

Menangani potensi kerentanan dalam segala aspek layanan cloud kami

Amazon Web Services sangat mengutamakan keamanan, dan menyelidiki semua kerentanan yang dilaporkan. Halaman ini mendeskripsikan praktik kami untuk menangani potensi kerentanan dalam segala aspek layanan cloud kami.

Melaporkan Dugaan Kelemahan

  • Amazon Web Services (AWS): Jika Anda ingin melaporkan kerentanan atau menemukan masalah keamanan yang terkait dengan layanan cloud AWS atau proyek sumber terbuka, harap kirim informasi tersebut dengan menghubungi aws-security@amazon.com. Jika Anda ingin melindungi isi kiriman Anda, Anda dapat menggunakan kunci PGP kami.
  • Amazon.com (Ritel): Jika Anda mengalami masalah keamanan dengan Amazon.com (Ritel), Pusat Penjual, Amazon Payments, atau masalah terkait lainnya, seperti pesanan mencurigakan, kekeliruan tagihan kartu kredit, email mencurigakan, atau pelaporan kerentanan, buka halaman web Keamanan untuk Ritel.
  • Kebijakan Dukungan Pelanggan AWS untuk Uji Penetrasi: Pelanggan AWS dipersilakan untuk melaksanakan penilaian keamanan atau uji penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk layanan yang ada dalam daftar. Permintaan Otorisasi untuk Kejadian Simulasi Lainnya harus dikirim melalui Formulir Kejadian Simulasi. Untuk pelanggan yang beroperasi di Wilayah AWS Tiongkok (Ningxia & Beijing), silakan menggunakan Formulir Kejadian Simulasi.
  • Penyalahgunaan AWS: Jika Anda menduga bahwa sumber daya AWS (seperti instans EC2 atau bucket S3) digunakan untuk aktivitas yang mencurigakan, Anda dapat melaporkannya kepada Tim Penyalahgunaan AWS melalui formulir Laporkan Penyalahgunaan Amazon AWS atau dengan menghubungi trustandsafety@support.aws.com.
  • Informasi Kepatuhan AWS: Akses ke laporan kepatuhan AWS tersedia melalui AWS Artifact. Jika ada pertanyaan lain yang terkait dengan Kepatuhan AWS, silakan menghubungi melalui formulir masukan mereka.

Agar laporan Anda dapat ditindaklanjuti secara lebih efektif, berikan materi pendukung (kode bukti konsep, output alat, dll.) yang akan berguna untuk membantu kami memahami karakteristik dan keparahan kerentanan itu.

Informasi yang Anda bagikan kepada AWS sebagai bagian dari proses ini akan dirahasiakan di dalam AWS. AWS hanya akan membagikan informasi ini kepada pihak ketiga jika kerentanan yang Anda laporkan ternyata memengaruhi produk pihak ketiga. Jika demikian, kami akan membagikan informasi ini kepada penyusun atau produsen produk pihak ketiga tersebut. Jika tidak, AWS hanya akan membagikan informasi ini sebagaimana diizinkan oleh Anda.

AWS akan meninjau laporan yang dikirim dan memberinya nomor pelacakan. Selanjutnya, kami akan mengabari Anda tentang penerimaan laporan itu dan menguraikan langkah berikutnya dalam proses ini.

Cakupan

Aktivitas berikut berada di luar cakupan Program Pelaporan Kerentanan AWS. Melakukan salah satu aktivitas di bawah ini akan menyebabkan diskualifikasi dari program secara permanen.

  • Menarget aset pelanggan AWS atau situs non-AWS yang di-host di infrastruktur kami
  • Kerentanan apa pun yang diperoleh dengan cara yang membahayakan akun pelanggan atau karyawan AWS
  • Setiap serangan Denial of Service (DoS) terhadap produk AWS atau pelanggan AWS
  • Serangan fisik terhadap karyawan, kantor, dan pusat data AWS
  • Rekayasa sosial terhadap karyawan, kontraktor, vendor, atau penyedia layanan AWS
  • Dengan sengaja mengeposkan, mentransmisikan, mengunggah, menautkan, atau mengirim malware
  • Mengejar kerentanan yang mengirim pesan massal yang tidak diminta (spam)

SLA untuk Evaluasi oleh AWS

AWS berkomitmen untuk merespons dengan cepat dan terus mengabarkan perkembangan kami. Anda akan menerima respons nonotomatis yang mengonfirmasi penerimaan laporan awal Anda dalam 24 jam, informasi terkini yang tepat waktu, dan kabar bulanan di sepanjang interaksi ini. Anda dapat meminta info terkini kapan saja dan kami siap untuk berdiskusi jika ada persoalan atau koordinasi pengungkapan yang perlu diklarifikasi.

Pemberitahuan Publik

Jika berlaku, AWS akan mengoordinasikan pemberitahuan publik tentang setiap kerentanan yang divalidasi dengan Anda. Jika memungkinkan, kami lebih memilih agar masing-masing pengungkapan publik kami diposting secara serentak.

Untuk melindungi pelanggan kami, AWS meminta Anda untuk tidak memposting atau membagikan informasi apa pun tentang potensi kerentanan secara publik hingga kami telah meneliti, merespons, dan menangani kerentanan yang dilaporkan, dan memberi tahu pelanggan jika perlu. Selain itu, kami meminta dengan hormat kepada Anda untuk tidak memposting atau membagikan data apa pun milik pelanggan kami. Mengatasi kerentanan yang dilaporkan secara valid memerlukan waktu dan lini masanya akan bergantung pada tingkat keparahan kerentanan dan sistem yang terpengaruh.

AWS mengeluarkan pemberitahuan publik dalam bentuk Buletin Keamanan yang diposkan di situs web AWS Security. Individu, perusahaan, dan tim keamanan biasanya mengeposkan pengumuman resmi di situs web masing-masing dan di forum lain dan, jika diperlukan, kami akan menyertakan tautan ke sumber daya pihak ketiga tersebut dalam Buletin Keamanan AWS.  

Safe Harbor

AWS percaya bahwa penelitian keamanan yang dilakukan dengan iktikad baik harus mendapat safe harbor. Untuk tujuan safe harbor dalam penelitian keamanan dan pelaporan kerentanan, kami telah mengadopsi Gold Standard Safe Harbor. Kami berharap dapat bekerja sama dengan para peneliti keamanan yang memiliki semangat yang sama untuk melindungi pelanggan kami.

Gold Standard Safe Harbor mendukung perlindungan organisasi dan peretas yang terlibat dalam Penelitian Keamanan dengan Iktikad Baik. “Riset Keamanan dengan Iktikad Baik” adalah mengakses komputer semata-mata untuk pengujian dengan iktikad baik, investigasi, dan/atau koreksi kelemahan atau kerentanan keamanan, di mana aktivitas tersebut dilakukan dengan cara yang didesain untuk menghindari bahaya bagi individu atau publik, dan di mana informasi yang berasal dari aktivitas tersebut digunakan terutama untuk meningkatkan keamanan atau keselamatan kelas perangkat, mesin, atau layanan online dari komputer yang diakses, atau mereka yang menggunakan perangkat, mesin, atau layanan online.

Kami menganggap Penelitian Keamanan dengan Iktikad Baik sebagai aktivitas resmi yang dilindungi dari tindakan hukum yang merugikan. Kami mengesampingkan semua pembatasan yang relevan dalam Ketentuan Layanan (“TOS”) dan/atau Kebijakan Penggunaan yang Dapat Diterima (“AUP”) yang bertentangan dengan standar Penelitian Keamanan dengan Iktikad Baik yang diuraikan di sini.

Artinya, untuk kegiatan yang dilakukan selama program ini aktif, kami:

  • Tidak akan menggugat atau melaporkan Anda karena Penelitian Keamanan dengan Iktikad Baik, termasuk karena melewati langkah-langkah teknologi yang kami gunakan untuk melindungi aplikasi yang tercakup; dan,
  • Akan mengambil langkah-langkah untuk memberitahukan bahwa Anda melakukan Penelitian Keamanan dengan Iktikad Baik jika orang lain menggugat Anda.

Anda harus menghubungi kami untuk klarifikasi sebelum terlibat dalam perilaku yang menurut Anda mungkin tidak sesuai dengan Penelitian Keamanan dengan Iktikad Baik atau tidak diatur oleh kebijakan kami.

Perlu diingat bahwa kami tidak dapat mengizinkan riset keamanan pada infrastruktur pihak ketiga, dan pihak ketiga tidak terikat oleh pernyataan safe harbour ini.

Kebijakan Pengungkapan

Setelah laporan dikirim, kami akan bekerja untuk memvalidasi kerentanan yang dilaporkan. Jika informasi tambahan diperlukan untuk memvalidasi atau memunculkan kembali masalah, kami akan bekerja sama dengan Anda untuk memperoleh informasi tersebut. Ketika investigasi awal selesai, hasilnya akan dikirimkan kepada Anda bersama dengan rencana untuk penyelesaian dan diskusi pengungkapan publik.

Beberapa hal yang perlu diperhatikan tentang proses tersebut:

  1. Produk Pihak Ketiga: Jika kerentanan diketahui memengaruhi produk pihak ketiga, kami akan memberi tahu pemilik teknologi yang terpengaruh. Kami akan terus berkoordinasi dengan Anda dan pihak ketiga. Identitas Anda tidak akan diungkapkan kepada pihak ketiga tanpa izin Anda.
  2. Konfirmasi Non-Kerentanan: Jika masalah tidak dapat divalidasi, atau ternyata tidak termasuk dalam cakupan, hal ini akan disampaikan kepada Anda.
  3. Klasifikasi Kerentanan: AWS menggunakan Common Vulnerability Scoring System (CVSS) versi 3.1 untuk mengevaluasi potensi kerentanan. Skor yang dihasilkan membantu mengukur keparahan masalah dan memprioritaskan respons kami. Untuk informasi selengkapnya tentang CVSS, lihat situs NVD.

Saat berpartisipasi dalam program pengungkapan kerentanan dengan iktikad baik ini, kami meminta Anda untuk:

  • Mematuhi peraturan, termasuk mengikuti kebijakan ini dan perjanjian lain yang terkait. Jika terdapat ketidaksesuaian antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan dalam kebijakan ini akan berlaku;
  • Segera laporkan kerentanan apa pun yang Anda temukan;
  • Jangan melanggar privasi orang lain, mengganggu sistem kami, memusnahkan data, dan/atau mengganggu kenyamanan pengguna;
  • Gunakan hanya saluran yang telah disebutkan untuk mendiskusikan informasi kerentanan dengan kami;
  • Beri kami waktu yang wajar sejak laporan awal untuk menyelesaikan masalah itu sebelum Anda mengungkapkannya kepada publik;
  • Laksanakan pengujian hanya pada sistem yang berada di dalam cakupan dan hargai sistem dan aktivitas yang berada di luar cakupan;
  • Jika kerentanan itu tanpa sengaja membuat Anda dapat mengakses data, akses data itu sesedikit mungkin untuk menunjukkan bukti konsep secara efektif; lalu hentikan uji dan segera kirim laporan jika Anda menemukan data pengguna selama pengujian, seperti Informasi Pengenal Pribadi (PII), Informasi Perawatan Kesehatan Pribadi (PHI), data kartu kredit, atau informasi hak milik;
  • Hanya berinteraksi dengan akun uji coba yang Anda miliki atau dengan izin tertulis dari pemegang akun; dan
  • Jangan terlibat dalam pemerasan.
Hubungi Perwakilan Bisnis AWS
Ada Pertanyaan? Hubungi perwakilan bisnis AWS
Menjejalahi peran keamanan?
Daftar sekarang »
Menginginkan info terkini tentang Keamanan AWS?
Ikuti kami di Twitter »